教學目標

學習 Google Cloud Platform 的心得分享,初步了解在 Google Cloud 中有關虛擬私人網路實作練習的重點概念。

重點概念

首先所謂 Cloud VPN 主要是能夠透過 IPsec VPN 連線以安全的方式將我們的內部部署網路連結至 Google Cloud Platform (GCP) 的虛擬私人雲端 (VPC) 網路,此時在兩個網路之間傳輸的流量會經由其中一個 VPN 閘道加密,然後由另一個 VPN 閘道解密,以利確保資料在網際網路上傳輸時的安全。此外在VPN 拓撲中主要會有兩個閘道,分別為 Cloud VPN 閘道和內部部署 VPN 閘道,以及這二個閘道之間所建立的 VPN 通道,其中所謂 Cloud VPN 閘道主要是在 Google 代管的 GCP 中執行的虛擬 VPN 閘道,請注意每個 Cloud VPN 閘道皆是使用地區使外部 IP 位置,所以能夠連線至內部部署 VPN 閘道或其他 Cloud VPN 閘道。

接著 Cloud VPN 主要為 VPN 通道提供了三種不同的轉送方法,分別為:

  1. 動態 (BGP) 轉送:如果獲得對應或內部部署 VPN 閘道的支援,Cloud Router 可以使用邊界閘道通訊協定 (BGP) 管理 Cloud VPN 通道的路徑。
  2. 依據路徑的轉送:使用這個轉送選項,我們只需指定「遠端網路 IP 範圍」,受到手動建立的路徑限制,系統會接受流經通道的所有連入流量。
  3. 依據政策的轉送:使用這個轉送選項,您需要在建立 Cloud VPN 通道時指定遠端網路 IP 範圍與本機子網路。

其中 Cloud VPN 一律會啟動 IKE,所謂 IKE 是一種通訊協定,可用於驗證及針對工作階段金鑰進行交涉以加密流量,主要支援 IKEv1 與 IKEv2,這兩者均使用共用密鑰 (IKE 預先共用金鑰)。 支援這些 IKE 加密方式,請注意 Cloud VPN 閘道和內部部署 VPN 閘道必須設定相同的通訊協定的加密方式。

再來使用以下最佳實務來協助我們建立 Cloud VPN,分別為:

  1. 設定 HA VPN 達到高可用性的 Cloud VPN。
  2. 對於 HA VPN 請使用主動/被動路由設定。
  3. 設定 Cloud VPN 之前,建議設定自訂模式網路。
  4. 使用 BGP的動態路由作為路由選項。
  5. 建立 Cloud VPN 通道產生高強度的預先共用金鑰。

其中 HA VPN 主要是一種高可用性的 Cloud VPN 解決方案,能夠讓我們透過單個地域中的IPsec VPN 連線,將本地端網路安全地連線至虛擬私有雲端網路,其主要提供 99.99% 服務可用性的 SLA。此外使用單個 HA VPN 閘道時,建議使用主動/被動路由設定,但是當使用多個 HA VPN 閘道時,則建議使用主動/主動設定。

最後我們還能夠參考 Google Cloud 所提供的官方文件,以利設定 AWS Virtual Private Gateway和設定 Google Cloud VPN ,並且將 AWS Virtual Private Gateway 和 Google Cloud VPN 進行 BGP的動態路由的 VPN 連線。實作過程中會先建立 VPC 網路,當在 AWS 中建立 VPC 網路,則記得設定網際網路閘道、對應路由器和防火牆,避免無法連線至 EC2 虛擬機器進行測試,反之 GCP 中建立 VPC 網路之後,將能夠很容易的啟動 Instance 虛擬機器,更進一步當我們建立完成 Cloud VPN 通道之後,就能夠登入 AWS 和 GCP 的虛擬機器,互相透過「ip addr」指令查看 IP 位置,接著再透過「ping xxx.xxx.xxx.xxx」進行連線測試,理應能夠連線測試成功。

總結針對 Cloud VPN 的學習建議實際操作過一次會比較有感覺,並且在官方網站則有提供內部部署第三方 VPN 裝置或服務,提供互通性指南和廠商專屬注意事項,我們可以利用這些裝置或服務連線至 Cloud VPN,選擇其中一種第三方 VPN 進行實機練習吧!

相關資源